鎖定臉書企業粉絲專頁或是廣告管理員的攻擊行動已出現數起,但過往這種類型的事故多半發生在國外,如今有研究人員揭露專門鎖定臺灣用戶而來的攻擊行動。
思科旗下的威脅情報團隊Talos指出,他們發現自今年7月開始,有人針對臺灣的臉書企業用戶及廣告帳號,發動相關攻擊,攻擊者以侵犯版權為由,假冒企業的法律部門,寄送帶有偽裝成PDF檔案附件的釣魚信,意圖引誘使用者下載及執行惡意程式。
在這波攻擊行動裡,對方濫用Google的Appspot[.]com網域名稱,以及短網址服務、雲端檔案共享服務Dropbox,藉此迴避網路資安系統的偵測,而能成功將竊資軟體LummaC2(Lumma Stealer)、Rhadamanthys,傳送到受害電腦。
再者,過程中駭客也運用多種迴避防毒軟體偵測及沙箱分析機制的手法,例如:程式碼混淆、Shell Code加密處理,以及將檔案膨脹至超過700 MB等。
針對這起攻擊行動發生的過程,研究人員提及,這些釣魚郵件夾帶惡意軟體下載連結,而郵件內容及偽裝成PDF檔案的誘餌,都使用了正體中文,顯然是針對這種語言的使用者而來。
而且,臺灣用戶明顯就是目標。例如,研究人員提及兩封釣魚信裡,駭客佯稱臺灣知名的工業機械製造商及電子商城,表明他們的法律代表已向臉書站方通報,收信者使用了未經授權的圖片及影片,要求必須在24小時裡移除侵權的內容,並在未經書面授權同意的情況下停止進一步使用,他們將採取法律行動並要求賠償。研究人員透過這些釣魚信,確認駭客使用相同的範本,僅更改公司名稱、法律部門資訊、公司地址及網站。
而對於攻擊者的身分,研究人員提及,駭客透過密碼保護的壓縮檔,挾帶未知的封裝式PostScript圖檔(EPS),他們也在惡意程式分析平臺VirusTotal找到內含相同EPS檔的壓縮檔,循線找到具備相同檔案的越南語網站,但無法進一步確認攻擊者就是來自越南。
但從釣魚信和誘餌檔案名稱當中,我們看到夾雜不少中國用語,不排除攻擊者可能來自中國。
熱門新聞
2024-12-08
2024-12-10
2024-12-10
2024-12-10
2024-11-29
2024-12-08